openSUSEセキュリティ更新プログラム:haproxy(openSUSE-2019-2556)
high Nessus プラグイン ID 131281
Language:
概要
リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。説明
このhaproxyのバージョン2.0.5+git0.d905f49aへの更新では、次の問題を修正します:修正されたセキュリティ問題:
- CVE-2019-14241:Cookieのメモリ破損の問題を修正しました。(bsc#1142529)
2.0.5への更新では、多くの機能とバグ修正が導入されます:
- HTXと呼ばれる新しい内部ネイティブHTTP表現は既に1.9に導入されましたが、2.0ではデフォルトで有効になりました。
- gRPCに必要なトレーラーおよび継続フレームを含む、エンドツーエンドのHTTP/2サポート。 HTTP/2は、H2 prefaceを使用してHTTP/1.1からアップグレードされることもあります。
- ALPNプロトコルネゴシエーションサーバー接続プール機能およびより高度な再利用機能(1.9で導入済み)
- レイヤー7の再試行。これにより、サーバーおよびフロントエンドで0-RTTおよびTCP Fast Openを使用できます
- よりスケーラブルなマルチスレッド。これは、テストが成功しているプラットフォームではデフォルトで有効になっています。デフォルトでは、多くのスレッドはhaproxyを実行できるCPUの数として開始されします。これにより、VMとコンテナでの構成作処理が大幅に軽減されます
- 使用可能なFDの数に直接基づく、プロセスおよびフロントエンドの自動maxconn設定(コンテナでのsystemdによる構成がより容易になります)
-コンテナおよびsystemdで使用するためのstdoutへのロギング(1.9で導入済み)。ログで、一部のイベントに対しマイクロ秒の解決を提供できるようになりました
- ピアがIDだけでなく、SSL、ピアセクションでの複数のスティックテーブルの直接的な宣言、サーバー名の同期をサポートするようになりました
- マスターワーカーモードでは、マスタープロセスが専用のCLIを公開するようになり、他のすべてのプロセス(停止中のプロセスも含む)と通信できるようになり、CLIに接続してその状態をチェックできるようになりました。一部のサイドカープログラムを開始してマスターからこれらのプログラムを監視することもできます。マスターはかなりの数のリロードを通じて存続しているプロセスを自動的に強制終了できます
- 着信接続はすべてのスレッドでその負荷に応じて負荷分散されます。これにより処理時間を最小限に抑え、処理能力が最大限に引き出されます( 1.9で導入済み)
- SPOA応答時間の高いパーセンタイルを削減するために、SPOE接続の負荷分散が大幅に改善されました(1.9で導入済み)
-「ランダム」負荷分散アルゴリズムとpower-of-two-choicesバリアントが導入されました
- 特定の対象のスレッドごとのカウンターによる統計の改善およびすべての統計のためのprometheusエクスポーター
- 多数のデバッグヘルプ。コアダンプをより容易に生成できるようになりました。CLIにさまざまな対象を制御する新しいコマンドが導入されました。スレッドデッドロックやスピニングタスクが検出される場合に適切に失敗するウォッチドッグが導入されました。これにより全体的に、現場での操作性が向上し、ユーザーと開発者の間での往復が減少します(このためインシデントにおけるストレスが軽減します)。
- 3つのデバイス検出エンジンすべてにマルチスレッドとの互換性があり、外部での依存関係を必要とせずにビルドテストできます
- 任意、サンプル、およびリゾルバーでDNS解決を実行するためにhttp-requestアクションを「do-resolve」します。現在は、ローカルのリゾルバーを一致させるために/etc/resolv.confに依存することがサポートされています
- ログのサンプリングとバランシング:10のログごとに1つのログをサーバーに送信すること、またはロギングの負荷を複数のログサーバーに分散することができるようになりました。
- 新しいSPOAエージェント(spoa_server)により、haproxyとPythonおよびLuaプログラムとのインターフェイスが実現します
- Solarisのイベントポート(kqueueまたはepollに相当)のサポート。これにより、多数の接続を処理する場合のパフォーマンスが大幅に改善されます
- 2.1で削除される予定の推奨されないいくつかのオプションについて警告が報告されるようになりました。2.0は長期にわたりサポートされているため、至急変換する必要はありません。ただしこれらの警告が表示された場合は、数少ないケースに該当するため、これらのオプションを維持する場合にはリスクがあることを理解しておく必要があります。
- 新しいSOCKS4サーバーサイドレイヤーが提供されました。これにより、SOCKS4プロキシ(ssh -Dなど)を介して発信接続を転送できます。
-優先度とレイテンシに対応したサーバーキュー:特定のリクエストに優先度を割り当てたり、タイムボーナスまたはペナルティを与えることができるようになりました。これにより、トラフィックの制御を鵜細かく調整して、SLAに取り組むことができます。
- 内部でアーキテクチャが大幅に再設計され、パフォーマンスをさらに向上でき、複数のレイヤーに渡るプロトコル(QUICなど)の実装が容易になりました。この作業は1.9で始まり2.1でも継続されます。
- I/O、アプレット、タスクが、同じマルチスレッドスケジューラを共有するようになりました。これにより、すべてのタスクの間での応答性と公平性が大幅に向上します。これは、極端に負荷が高い場合でも常に即座に応答するCLIからも分かります( 1.9で開始)
- 内部バッファが再設計され、ゼロコピー操作が容易になりました。これにより、HTTP/1をHTTP / 2との間で転送する場合でも、高い帯域幅を維持することが可能です(1.9で導入済み)
この更新はSUSEからインポートされました:SLE-15-SP1:更新プロジェクトを更新します。
ソリューション
影響を受けるhaproxyパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 131281
ファイル名: openSUSE-2019-2556.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2019/11/25
更新日: 2024/4/10
サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2019-14241
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:haproxy, p-cpe:/a:novell:opensuse:haproxy-debuginfo, p-cpe:/a:novell:opensuse:haproxy-debugsource, cpe:/o:novell:opensuse:15.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2019/11/23
脆弱性公開日: 2019/7/23
参照情報
CVE: CVE-2019-14241